Centre conformité
Informations à destination des structures, directions et référents (RGPD, contrats, sous-traitance). Complète les pages légales générales (CGU, politique de confidentialité) sans les remplacer.
Accord de traitement des données (DPA)
Lorsque votre structure confie à Carnet de Bord le traitement de données personnelles dans le cadre du service (article 28 du RGPD), un accord de sous-traitance (DPA) peut formaliser les obligations de l’éditeur : finalités, durées, mesures de sécurité, sous-traitants ultérieurs, assistance pour les droits des personnes, etc.
Modèle et signature : les structures peuvent demander le modèle d’accord adapté et les précisions contractuelles à chris@carnet2bord.fr (objet conseillé : « DPA — Carnet de Bord »).
Hébergeur principal (Supabase) : la documentation officielle inclut un DPA type pour les clients Supabase : supabase.com/legal/dpa. L’éditeur s’appuie sur des prestataires disposant d’engagements conformes au RGPD ; la liste opérationnelle est détaillée ci-dessous.
Sous-traitants et prestataires
Liste indicative des prestataires techniques intervenant dans la fourniture du service (mise à jour possible ; la structure peut demander la version à jour par email).
| Prestataire | Rôle | Documentation |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage fichiers (photos, documents), fonctions Edge, API temps réel | Politique de confidentialité · DPA |
| Resend | Envoi d’emails transactionnels (ex. codes de connexion à deux facteurs, messages système) | Confidentialité |
| RevenueCat | Gestion des abonnements et achats intégrés (stores Apple / Google) — données limitées au compte d’achat | Confidentialité |
| Mapbox | Itinéraires et cartographie lorsque l’utilisateur utilise les fonctions de navigation / carte dans l’app | Confidentialité |
| Google / Apple | Connexion optionnelle OAuth (Google, Apple) ; services Google éventuels selon configuration (ex. Places) — traitement selon les conditions du fournisseur | Politiques du fournisseur choisi par l’utilisateur |
Pour toute précision sur les transferts hors UE, garanties (clauses contractuelles types, etc.) ou mise à jour de cette liste : chris@carnet2bord.fr.
Localisation des données
Données applicatives principales : les contenus saisis dans Carnet de Bord (comptes, journal, pièces jointes hébergées dans l’espace de stockage du service) sont traités via Supabase avec des régions d’hébergement situées dans l’Union européenne, afin de faciliter la conformité au RGPD.
Emails transactionnels : les envois via Resend peuvent transiter par une infrastructure dont une partie peut être située en dehors de l’UE ; le prestataire propose des mécanismes de conformité (clauses contractuelles types, mesures organisationnelles) décrits dans sa documentation.
Terminaux : une partie des données peut être mise en cache sur l’appareil de l’utilisateur pour le mode hors ligne ou les performances ; la politique détaillée figure dans la politique de confidentialité et la note technique sur demande.
Contact DPO / référent RGPD
Pour les questions relatives à la protection des données, aux droits des personnes, aux accords de sous-traitance ou aux analyses d’impact (AIPD) en lien avec le service Carnet de Bord :
Christopher Fortier — Éditeur de Carnet de Bord
Email : chris@carnet2bord.fr
Réponse visée sous un délai raisonnable et, pour les demandes relatives aux droits RGPD, dans les délais prévus par la réglementation (en général jusqu’à un mois). Les structures employeuses ou mandataires restent souvent responsables du traitement des données de leurs agents pour les finalités de gestion interne ; ce contact couvre le rôle de l’éditeur de l’application et l’exécution du service.
Dernière mise à jour : 28 mars 2026. Retour à la documentation.